ProofpointUS?表示，网络钓鱼攻击每年给大型组织造成近1500万美元的损失，或者每名员工损失超过1500美元。凭据网络钓鱼攻击可能不再是最流行的网络钓鱼形式，但它们仍然非常普遍，并且是造成大量业务损失的根源。如果您有任何需要登录凭据的在线帐户（我们中的大多数人都这样做），那么您将面临凭据网络钓鱼的风险。

凭据网络钓鱼攻击如何运作？

网络钓鱼攻击通常以用户名、ID、密码或个人密码等凭据为目标。凭据网络钓鱼是指黑客通过在电子邮件或其他通信渠道中伪装成可信方来试图窃取您的凭据。黑客通常会将他们收集的数据出售给暗网。从社交媒体和银行业务到电子商务网站和商业工具，我们都有越来越多的在线账户需要登录凭据。

您的用户名或电子邮件，以及您的密码和个人识别码，都将被视为“凭证”的形式。这是网络钓鱼攻击中最常泄露的数据类型。您可能认为密码窃取方法大多是无害的，包括暴力攻击，黑客使用手动和自动技术尝试猜测您的密码，但没有成功。

当今的网络犯罪分子使用越来越复杂的数字操作形式来提取您的敏感信息。由于凭据网络钓鱼依赖于信任，因此它比您想象的要有效得多。德勤表示，91%的网络攻击都是从向毫无戒心的受害者发送网络钓鱼电子邮件开始的，凭证窃取网络钓鱼也不例外。这些电子邮件通常被定位为紧急请求，无论是逾期未付的发票、最近的购买，还是最近付款的跟进。由于电子邮件似乎来自合法来源，并带有听起来合法的请求，因此普通用户很难发现密码盗窃攻击。

要注意的凭据网络钓鱼电子邮件的类型

Tessian已经确定了一些最常见的网络钓鱼电子邮件的主题行。它们如下：

Tessian还表示，此类电子邮件的打开率可高达25%。因此，虽然并非所有网络钓鱼电子邮件首先都会被打开，但攻击者的成功率足够高，可以继续使用久经考验的策略。

您应该了解密码盗窃攻击电子邮件的其他一些定义特征。这是您需要知道的：

如前所述，网络钓鱼电子邮件的目的是让您点击恶意链接。此链接不会将您带到某些流氓网站或将病毒下载到您的计算机上（尽管这始终存在风险）。与原始消息一样，恶意网站具有您可能期望从真正的提供商那里获得的所有信任指标——徽标、品牌、颜色、字体、通信方式等等！

它是假网站的唯一迹象可能是网站URL。大多数企业现在都使用多个域和门户，因此诊断起来可能比您想象的要难。雪上加霜的是，现在的黑客甚至使用HTTPS和/或SSL证书来使他们的网站看起来安全。仅仅因为它是安全的，并不意味着您的数据不会被盗。

还有一件事需要注意。如果您偶然发现一个假网站，这可能会有所帮助。该网站可能会使用图像代替纯文本来规避垃圾邮件过滤器。

窃取的凭据通常用于商业电子邮件入侵、供应商电子邮件入侵、识别欺诈、欺诈交易、窃取个人或公司信息以及其他攻击。在某些情况下，您的凭据甚至会在暗网上出售。

为防止凭据网络钓鱼，您需要：

凭据网络钓鱼攻击是一个真正的问题，有时，它们会通过您的所有过滤器。为将风险降至最低，请采取上述所有预防措施。无论您的企业规模大小，黑客都在积极通过网络钓鱼获取登录凭据以实施网络犯罪。